Stellungnahme Entwurf eines Gesetzes zur Förderung des elektronischen Identitätsnachweises, BR-Drs. 787/16 Kontakt: Peter Langweg Telefon: +49 30 2021-2311 Telefax: +49 30 2021-19 2300 E-Mail: p.langweg@bvr.de Berlin, Federführer: Bundesverband der Deutschen Volksbanken und Raiffeisenbanken e. V. Schellingstraße 4 10785 Berlin Telefon: +49 30 2021-0 Telefax: +49 30 2021-1900 www.die-deutsche-kreditwirtschaft.de
Seite 2 von 5 Kreditinstitute sind bei der Bekämpfung der Geldwäsche und der Terrorismusfinanzierung zu vielfältigen Maßnahmen verpflichtet. Dabei obliegt es ihnen insbesondere, ihre Kunden zu identifizieren und die erhobenen Kundendaten zu überprüfen. Hierzu ist nach der gesetzlichen Regelung in Deutschland für die Identifizierung der natürlichen Personen und die Überprüfung der gemachten Angaben maßgeblich auf Dokumente abzustellen, mit denen die Pass- und Ausweispflicht in Deutschland erfüllt wird. 1 Aus diesem Grund haben insbesondere das Personalausweisgesetz (PAuswG) und das Passgesetz (PassG), die durch den vorliegenden Gesetzentwurf der Bundesregierung geändert werden sollen, für die Dienstleistungen von Kreditinstituten eine besondere Bedeutung. Im Einzelnen erlauben wir uns folgende Anmerkungen zu dem vorliegenden Gesetzentwurf und hoffen, hiermit nicht zur Konsistenz der neuen Regelungen mit dem bestehenden Normengefüge, sondern auch zur Optimierung der aufgegriffenen Gesetze beitragen zu können: 1. Verwendung von Ausweisdaten und -kopien durch Kreditinstitute Nach 19a Abs. 2 PAuswG-E haben Identifizierungsdiensteanbieter die personenbezogenen Daten des Ausweisinhabers zu löschen, sobald die Identifizierung abgeschlossen und gegebenenfalls das elektronische Formular sowie die auf Grund gesetzlicher Aufzeichnungspflichten aufgezeichneten Daten an den Auftraggeber übermittelt wurden. Das grundsätzliche Verbot der Speicherung der erhobenen Daten sollte jedenfalls nicht für Kreditinstitute gelten, soweit diese als Identifizierungsdiensteanbieter zu verstehen sind. Dies sollte zumindest in der Gesetzesbegründung klargestellt werden. Im Sinne der Ratio des 10 Abs. 2 Vertrauensdienstegesetz 2 sollte Kreditinstituten als Anbietern von Identifizierungsdienstleistungen ermöglicht werden, ausgelesene Daten für spätere erneute Identifizierungen und Überprüfungen der Identität von Kunden für die Dauer der Gültigkeit des jeweiligen Ausweisdokumentes zu speichern. Dies würde es den Kreditinstituten erlauben, ihren Kunden eine ausgelagerte wahrhaft digitale elektronische Identität anzubieten, mittels derer sie sich digital identifizieren und authentifizieren können. Diese elektronische Identität würde sich für weitere Identifizierungen und deren Überprüfung im Internet, z. B. auch bei der späteren Eröffnung eines anderen Kontos bei einem anderen Kreditinstitut eignen. In den Niederlanden werden vergleichbare wahrhaft digitale elektronische Identitäten im Rahmen des Pilotprojektes idin bereits im Bereich des egovernment für die Abgabe von Steuererklärungen genutzt. 3 Folglich können solche durch die Kreditinstitute gespeicherten wahrhaft digitalen elektronischen Identitäten auch für den erfolgreichen Ausbau des egoverment genutzt werden. Wahrhaft digitale elektronische, in Identifizierungsdatenbanken der Kreditinstitute gespeicherte Identitäten würden 1 Die Zahlungskonto-Identitätsprüfungsverordnung (ZIdPrüfV) erlaubt seit Juli 2016 in Sonderfällen, auf 4 Absatz 4 Satz 2 GwG gestützt, auch die Bezugnahme auf weitere Dokumente; der weit überwiegende Teil der geldwäscherechtlichen Identifizierung natürlicher Personen und die Überprüfung der Angaben ist in Deutschland jedoch weiterhin anhand Dokumenten durchzuführen, die die Pass- und Ausweispflicht erfüllen. 2 10 Abs. 2 des Referentenentwurfes für ein Vertrauensdienstegesetz: (2) Vorbehaltlich einer Konformitätsprüfung nach Artikel 24 Absatz 1 Unterabsatz 2 Buchstabe d Satz 2 der Verordnung (EU) Nr. 910/2014, darf der qualifizierte Vertrauensdiensteanbieter für die Identitätsprüfung nach Artikel 24 Absatz 1 Unterabsatz 2 Buchstabe d Satz 1 der Verordnung (EU) Nr. 910/2014 mit Einwilligung des Antragstellers personenbezogene Daten nutzen, die er zu einem früheren Zeitpunkt erhoben hat, sofern diese Daten die zuverlässige Identitätsfeststellung des Nutzers gewährleisten. 3 Für nähere Details vgl. auf Niederländisch: http://download.belastingdienst.nl/belastingdienst/docs/gebruikersinstructie_idin.pdf, https://www.betaalvereniging.nl/giraal-en-online-betalen/idin/, Stand: 16. Januar 2017, 14.44 Uhr.
Seite 3 von 5 den Kunden weitere Identifizierungen erleichtern. Dadurch würde der Wettbewerb sowie der digitale Binnenmarkt im Finanzsektor und die Digitalisierung des Bankwesens als Teil der Digitalen Agenda gestärkt. Die Anlegung von Identifizierungsdatenbanken durch Kreditinstitute kann im Hinblick auf 19 Abs. 5 PAuswG-E möglich sein. Dies ergibt sich jedoch weder hinreichend eindeutig aus 19 Abs. 5 PAuswG-E noch ist das Verhältnis zu 19a Abs. 2 PAuswG-E und etwaigen datenschutzrechtlichen Bestimmungen hinreichend klar. Soweit nach dem PAuswG-E die Anlegung von Identifizierungsdatenbanken nicht möglich sein soll, wäre dies nicht sinnvoll und würde die digitale Entwicklung Deutschlands, gerade auch im Vergleich zum Entwicklungsstand etwa in den Niederlanden (s.o.) behindern. Gemäß 19a Abs. 1 PAuswG-E darf der Identifizierungsdiensteanbieter die personenbezogenen Daten des Ausweisinhabers nur zum Ausfüllen eines elektronischen Formulars verwenden, das ihm vom Auftraggeber zur Verfügung gestellt wurde. Dies erscheint übermäßig restriktiv. Zudem sollten andere Übermittlungsverfahren, wie die Datenübertragung per verschlüsselter Mail oder die Bereitstellung der Daten in einem Portal des Identifizierungsdiensteanbieters zum Abruf durch den Auftraggeber ermöglicht werden, um das Verfahren flexibel und zukunftssicher zu regeln. Nach 20 Abs. 2 Satz 2 PAuswG-E, 18 Abs. 3 Satz 2 PassG-E und der zugehörigen Begründung wird die Weitergabe von Pass- und Ausweiskopien an Dritte untersagt, sofern dies nicht spezialgesetzlich zugelassen ist. Eine generelle Untersagung der Weitergabe von Ausweiskopien an Dritte scheint nicht zielführend und sollte daher nicht in das Gesetz aufgenommen werden. Insbesondere fehlt nämlich eine spezialgesetzliche Ermächtigung für die Weitergabe an Dritte sowohl in 7 GwG-E als auch in 16 GwG-E (in der Fassung des Referentenentwurfs zur Umsetzung der 4. EU-Geldwäsche-Richtlinie (EU) 2015/849 vom 15. Dezember 2016). Um die in der Praxis dringend benötigte Möglichkeit zur Einschaltung zuverlässiger Dritter bei der Identifizierung von Vertragspartnern z. B. mittels des weit verbreiteten Postident- Verfahrens und auch durch das zukunftsträchtige Videoidentifizierungsverfahren zu erhalten, müsste zumindest das GwG zeitgleich mit Inkrafttreten der genannten Änderung im PAuswG um eine Ermächtigung zur Weitergabe der Ausweiskopien im Rahmen der Anwendung von 7 GwG-E ergänzt werden. Die grundsätzliche Untersagung der Weitergabe von Ausweiskopien an Dritte sollte auch deswegen unterbleiben, da dieses gesetzliche Verbot weiterführenden Zukunftskonzepten, wie etwa dem Austausch von Identifizierungsdaten und dazugehörigen Ausweiskopien zwischen Kreditinstituten oder zwischen Identifizierungsdiensteanbietern und Kreditinstituten im Wege stünde. Damit entstünde auch ein Konflikt zum durch das Bundesministerium für Wirtschaft und Energie in 10 Abs. 2 Vertrauensdienstegesetz als Teil des e-idas Durchführungsgesetzes geplanten Austausch von Identifizierungsdaten durch Vertrauensdiensteanbieter. Ferner wäre bei dem geplanten gesetzlichen Verbot unklar, wie es um das künftige Verhältnis zu derzeit bei Dritten ausgelagerten Ausweiskopien bestellt wäre. Es sollte jedenfalls durch einen Hinweis in der Gesetzesbegründung sichergestellt werden, dass diese Regelung nur für die Zukunft gilt.
Seite 4 von 5 2. Verständnis der als Identifizierungsdiensteanbieter Klassifizierten Der Begriff Identifizierungsdiensteanbieter in 21b Abs. 1 PAuswG-E bedarf einer genaueren Spezifizierung des umfassten Personenkreises. Stets erfasst sollten vor allem Kreditinstitute sein, die nach 2 GwG-E Verpflichtete sowie nach 16 GwG-E zuverlässige Dritte sind. 3. Medienbruchfreie Übermittlung von Daten aus dem Personalausweis in der Filiale Die Deutsche Kreditwirtschaft (DK) begrüßt zunächst ausdrücklich die Einführung der 18a und 21a PAuswG-E. Hierdurch wird eine medienbruchfreie Übermittlung von Daten aus dem Chip des Personalausweises (= elektronischer Identitätsnachweis), nach der Gesetzesbegründung auch ohne Eingabe der Geheimnummer, im Rahmen des Kundenannahmeprozesses in der Bankfiliale für den Zweck der Erfassung von Stammdaten möglich. Auch unter Abwesenden sollte für die bessere Einsetzbarkeit des elektronischen Identitätsnachweises für die Identifizierung und deren Überprüfung im Bereich des medienbruchfreien Online-Fernabsatzes auch das Auslesen der Daten ohne Eingabe der Geheimnummer ermöglicht werden. Die Eingabe der auf dem Personalausweis aufgedruckten Kartenzugangsnummer, welche laut Gesetzesbegründung technische Voraussetzung für das Auslesen ist, erscheint ausreichend. 4. Ablichtung des Personalausweises und des Passes Die DK begrüßt ferner grundsätzlich die Änderung des 20 Abs. 2 PAuswG und des 18 Abs. 3 PassG. Der Wechsel vom Verbot zum Einwilligungsprinzip ist eine deutliche Erleichterung für die Praxis (z. B. um die Berechtigung von Auskunftsersuchen nach 34 BDSG zu dokumentieren oder zur Nutzung der Kopie des Ausweises auch außerhalb des engen Zweckes einer Identifizierung/Überprüfung nach dem Geldwäschegesetz). Allerdings müssen Kreditinstitute auch ohne Einwilligung nach den geltenden Gesetzen Ausweise ablichten und die Kopien sowie die darin erhaltenen Kundeninformationen speichern dürfen. Dies ist für den Nachweis einer ordnungsgemäßen Identifizierung und Überprüfung der erhobenen Kundeninformationen nach dem Geldwäschegesetz (vgl. 8 GwG) erforderlich. Dies ist ferner auch nach dem auf das GwG Bezug nehmenden Finanzkonten-Informationsaustauschgesetz (FKAustG) sowie dem FATCA Gesetz in Verbindung mit der FATCA-USA-Umsetzungsverordnung opportun. Im neuen 20 Abs. 2 PAuswG-E und im neuen 18 Abs. 3 PassG-E sollte daher klargestellt werden, dass die Anfertigung und Speicherung elektronischer und analoger Ablichtungen von Ausweisen und der enthaltenen Kundeninformationen für die Erfüllung gesetzlicher Anforderungen (nämlich insbesondere des GwG, des FKAustG und des FATCA-Gesetzes in Verbindung mit der FATCA-USA-Umsetzungsverordnung, sowie ggf. künftig nach MiFIR) und auch für die Identifizierung von Verfügungsberechtigten nach 154 AO weiterhin auch ohne Einwilligung des Kunden erfolgen darf. Letzteres sollte ausdrücklich klargestellt werden. Die Bußgeldbewehrung nach dem neuen 32 Abs. 1 Nr. 7a PAuswG-E bzw. dem neuen 25 Abs. 2 Nr. 5b PassG-E sollte entsprechend eingeschränkt werden.
Seite 5 von 5 Unseres Erachtens ist es dringend geboten, diesen Teil des Entwurfs mit dem Umsetzungsgesetz zur 4. Geldwäsche-Richtlinie (EU) 2015/849, insbesondere im Hinblick auf 8 GwG ( 7 in der Fassung des Referentenentwurfs zur Umsetzung der 4. EU-Geldwäscherichtlinie vom 15. Dezember 2016), aber auch im Hinblick auf das FKAustG und das FATCA-Gesetz in Verbindung mit der FATCA-USA-Umsetzungsverordnung sowie die Identifizierung von Verfügungsberechtigten nach 154 AO (hier insbesondere im Hinblick auf den Regierungsentwurf des Steuerumgehungsbekämpfungsgesetzes) abzustimmen. 5. Verhinderung des automatisierten Abrufes personenbezogener Daten Zudem besteht hinsichtlich 20 Abs. 3 Satz 1 PAuswG-E aufgrund des technologischen Fortschrittes Handlungsbedarf. Hier sollte das Wort möglich durch das Wort erfolgt ersetzt werden. Durch das Voranschreiten des technischen Fortschrittes ist der automatisierte Abruf personenbezogener Daten oder eine Verknüpfung von Dateien stets technisch möglich. Um daher den Kreditinstituten die Gesetzesanwendung auch bereits nach dem Wortlaut und nicht nur nach der Ratio der Norm zu ermöglichen, muss es ausreichen, dass die Kreditinstitute die Suchfeldfunktion bzgl. der Ausweisdaten ausblenden bzw. sperren. Zur Erhöhung der Rechtssicherheit sollte dies klargestellt werden. ===